За масштабной кампанией по взлому аккаунтов в мессенджере Signal, жертвами которой стали политики, чиновники и журналисты из разных стран, могут стоять российские хакеры, предположительно связанные с государственными структурами.
Иностранные политики, высокопоставленные госчиновники и журналисты по всему миру стали мишенью целенаправленной кампании по захвату аккаунтов в Signal. Цифровые улики, проанализированные исследователями, указывают на возможное участие спонсируемых государством российских хакеров.
Пользователям приходили сообщения от профиля с ником Signal Support. В них утверждалось, что учетная запись якобы находится под угрозой, и для защиты нужно ввести PIN‑код, отправленный приложением. Если жертва следовала инструкции, злоумышленники получали доступ к аккаунту, могли просматривать контакты и читать входящие сообщения.
Помимо этого, получатели атак получали ссылки, выглядевшие как приглашение в канал WhatsApp. На самом деле они перенаправляли на фишинговые сайты, созданные для похищения данных.
Среди пострадавших от кампании оказался бывший вице‑президент немецкой внешней разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также сообщил о потере своего аккаунта в Signal англо‑американский финансист и давний критик Кремля Билл Браудер.
О попытках завладеть аккаунтами высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее информировала и разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, однако конкретных технических доказательств не привели. Похожее предупреждение распространило и американское ФБР, указав на интерес российских структур к аккаунтам в коммерческих мессенджерах.
Представители Signal заявили, что знают о происходящем и воспринимают ситуацию крайне серьезно. При этом они подчеркнули, что речь идет не о взломе шифрования, а о социальной инженерии и фишинге, эксплуатирующих доверие пользователей.
Исследователи установили, что фишинговые сайты, на которые вели вредоносные ссылки, были размещены на серверах хостинг‑провайдера Aeza. Этот провайдер ранее уже фигурировал в расследованиях о проведении пропагандистских и преступных кампаний, приписываемых структурам, связанным с российским государством. И компания, и ее основатель находятся под санкциями США и Великобритании.
Во вредоносные веб‑ресурсы был встроен специализированный фишинговый инструмент под названием «Дефишер». Его еще в 2024 году рекламировали на российских хакерских форумах по цене около 690 долларов. По данным исследователей, разработчиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» создавался под нужды киберпреступников, но примерно год назад им начали активно пользоваться хакеры, которых эксперты относят к спонсируемым государством группам.
По оценке специалистов по кибербезопасности, за этой кампанией может стоять группировка UNC5792, ранее обвинявшаяся в организации аналогичных фишинговых операций в разных странах.
При этом еще год назад аналитики Google публиковали доклад, в котором указывалось, что UNC5792 рассылала фишинговые ссылки и коды подтверждения украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
